构建多账号云环境的解决方案｜高效构建安全合规的新账号-阿里云开发者社区

演讲人：冬萌，阿里云开放平台技术专家

内容介绍：

一、企业多账号管理和治理需求

二、多账号体系下账号创建的痛点

三、多账号环境下账号创建解决方案

四、多账号环境下账号创建解决方案实例

本节课主要学习多账号环境下高效构建安全合规型账号的相关方案。

一、企业多账号管理和治理需求

首先，通过某企业的具体案例了解企业多账号管理和治理需求，如下图：

某家集团企业下属有10家子公司，各子公司的业务独立发展，因此该企业期望在云上做到业务的强隔离，所以该企业应采用多账号的架构部署云资源。
目前各子公司均独立运维，若要在各子公司上线新业务，出于以下几点考虑，该企业需要创建新账号来部署。
首先，使用新账号可以保证资源间的强隔离，让新业务快速启动，而不会影响到现有的线上业务；其次，可以从账号维度更加清晰地看到不同业务、不同部门的账单情况，实现灵活分账。但在该过程中也暴露出了很多安全风险的问题，如部分子公司创建的账号，RAM用户密码强度过低，或并未开启MF验证，再如，某些新账号未配置消息通知和联系人，导致错过了一些关键的安全和故障消息，在这种背景下，集团企业就需要对各个子公司进行统一管控，而如何快速交付安全合规的新账号是企业面临的重要挑战。

二、多账号体系下账号创建的痛点

如下图所示：

结合客户需要创建新账号的几个常见场景，除前面提到的新业务上线之外，如新项目POC验证，客户需要快速开发部署项目原型用以做业务或者云产品的可行性验证。

此时需要快速开始，且不能影响其他已有的业务。因此，可以新建账号来部署POC，保证资源的物理隔离以及清晰的安全边界。
再如，部分有出海需求的国内企业，企业出于业务发展等一系列诉求，需要把业务部署到海外，而在出海过程中不可避免地会面临当地的安全合规要求，如欧洲、美国等。此时，企业往往需要把海外的业务单独部署在新账号上，让账号能够满足当地的安全合规要求。

在这些场景下，客户创建的新账号在账号交付使用前还需要对账号进行一些初始使化的基础配置，包括访问配置、联系人、消息通知、网络设定等，这些基础配置称为账号基线。

1、创建效率低

在这过程中，企业首先面临的痛点是创建效率低下，尤其是需要大量频繁创建账号时，需要对每个账号进行基线的配置，如果要在控制台上逐个配置，操作繁杂，且费时费力。
另外，企业内的同类账号，如应用的测试账号，其基线中存在大量的相同配置，如密码强度等通用的安全配置，若每次新建账号都去控制台操作的话，则会产生大量无意义的重复劳动。

2、基线一致性无法保证

正如前面所说，企业内大量的同类账号需要相同的基线配置。在创建账号时，人工配置难免会出错或者遗漏，同时在账号基线更新时候需要批量应用到所有账号中，如果在控制台逐个账号进行操作，则更加难以保证基线的准确性和一致性。

三、多账号环境下账号创建解决方案

1、云治理中心——账号工厂

如何解决客户面临的痛点呢？我们可以通过云治理中心——账号工厂的解决方案实现新的安全合规账号的快速创建和交付。

首先，企业管理账号可以根据需要定义配置好的账号基线。账号工厂提供了丰富的基线项，如RAM用户密码策略、预置标签、联系人、云产品开通等，涵盖了身份权限、资源规划、网络安全等领域，通过对其配置组合，即可以定义账号基线。同时，账号工厂支持定义多个账号基线，可以满足不同用途的多种账号的基线所需。如通过账号来隔离测试环境和生产环境，测试账号和生产账号的基线不同，如VPC的网段、安全组的出入规则、预置标签等，使用多个账号基线就可以灵活区分按需使用。

定义完账号基线后，企业管理账号就可以创建新账号了。

创建的账号会自动部署，应用所选择的账号基线。至此，我们就完成了满足基线要求的新账号的交付。对于已有的存量账号，账号工厂也支持将其纳管进来。企业管理账号可以将所需的账号基线部署到这些存量账号中。

当账号基线更新或者发生偏移时，通过账号工厂还可以批量的重新下发，将基线应用到所需的目标账号中，持续地保证账号基线的一致性。

2、使用账号工厂

如下图所示：

首先，企业管理账号开通云治理中心，访问云治理中心的账号工厂页面，通过账号工厂提供的基线项编排配置所需的基线。

接下来，即可使用定义好的基线创建账号，也可将已有账号纳管，将基线批量应用到已有账号中。

3、云治理中心

账号工厂其实是云治理中心这款产品的其中一项功能，接下来我们再简单介绍一下云治理中心，让大家有宏观的了解。

企业上云、用云一般有四个阶段，即上云战略、上云准备、应用上云以及持续管理治理。

在上云准备和持续管理治理阶段，提供了Landing Zone和Well-Architected的框架，用来指导用户上云、用云以及管云，而云治理中心就是基于两个框架的产品化实现。

在企业上云阶段，云治理中心提供了蓝图搭建和账号工厂功能，前者帮助客户一站式地搭建安全合规的企业上云框架，即Landing Zone结构，而账号工厂是本次方案的主角，可以帮助企业在Landing Zone框架下快速、高效地创建安全合规的账号。

在云上管理治理阶段，云治理中心提供了治理成熟度检测，以及即将上线的WA Tool，对企业云上IT治理成熟度进行客观和主观的度量，实现云上业务的持续治理。通过云治理中心就可以一站式搭建并持续管理企业云上的安全合规环境。

四、多账号环境下账号创建解决方案实例

1、解决方案

回到开篇提到的集团企业案例，它是Landing Zone多账号的架构。

企业管理账号，即开通资源目录的Master账号，该账号可以对整个集团的资源结构进行管理，同时也会有一些职能账号，如日志账号、安全账号、运维账号等，用来对集团进行统一管控。这些职能账号会统一放到Core资源夹下，其他的应用账号会统一放到Application资源夹下。企业当前已通过云治理中心蓝图搭建完成了Landing Zone环境的搭建，包括资源结构初始化、核心智能账号的创建、审计日志统一投递等，接下来企业管理账号就可以通过云治理中心账号工厂来创建交付业务应用所需要的账号。

以下是基于账号工厂高效创建安全合规型账号的解决方案：

可以看到集团企业业务应用分为开发环境和正式环境，两个环境的账号是隔离的，对应的账号存在明显差异。

首先，在标签上，两者对应的标签值不同，需要区分开发和正式；其次，企业需要统一镜像的安全基线和打包构件，因此，会统一下发镜像，而开发和正式环境的镜像也是存在差异的；最后，在网段安全组出入规则上，两个环境也并不相同。

因此管理账号在账号工厂中就可以为开发和正式环境分别定义两条账号基线，其中通过账号工厂提供的预置标签、共享镜像等基线项可以分别配置。当然某些业务账号也存在共性，如开通云产品，业务都需要使用的云产品，如OSS、SLS，可以统一批量开通。

有的集团企业会有统一的职能账号做财务管理和运营管理等，因此，应用账号的联系人和消息通知也需要统一配置到对应的职能账号上。最后，一些基础的安全配置，像RAM用户的密码强度、安全设置等，都需要保证统一的安全基准。因此可以再定义一条账号基线，统一进行基础的通用配置，然后批量应用到所有的存量账号中，保证所有业务账号的基础基线完全一致。

2、实例演示

进入到具体产品的控制台，演示账号工厂的使用。

首先，进入云治理中心控制台，在控制台的搜索栏或左边的产品列表里都可以云治理中心。若是第一次使用云治理中心，会有产品开通的流程，建议使用企业管理账号开通、使用云治理中心，开通之后就可以进入账号工厂。首先需要编排账号基线，这里允许用户定义多个基线以满足不同类型账号的初始化需求。根据以上解决方案，已经为集团企业创建了三个基线，接下来分别进行了解。

左边是当前基线包含的基线项列表，可以通过下面的“添加基线项”按钮增加所需要的基线项，目前的账号工厂支持12个原子的基线项。基线项整体分为两部分，第一部分是通用设置，即蓝图搭建中的搭建项，它可以继续应用在账号工厂创建的账号中；第二部分是自定义的基线项，首先，可以配置账号联系人和消息通知，以往每创建一个账号就需要登录到账号上配置，而现在通过基线就可以一键完成。

在案例中创建了财务联系人，在消息通知中，根据需要可以将不同的消息通知到对应的联系人，如而将所有相关的财务消息都统一通知给财务联系人。

消息通知中提供了两种编辑模式，即简洁模式和高级模式。简洁模式中，可以同时开启整个通知分类；在高级模式中可以对每个分类下的原子消息进行单独配置。RAM相关的一系列的基线项，如RAM用户的安全设置以及RAM密码策略。

最后开通云产品，很多云产品需要开通或创建服务关联角色，只有完成这些才能使用云产品。在企业生产账号并且交付给应用或者产业团队使用时，期望能够完成所需产品的开通，可直接使用，使用账号工厂的基线项就可以保证新创建的账号默认开通了所需的云产品。在云产品列表中勾选上需要开通的云产品，如勾选了KMS、OSS、SLS。

关于业务账号的基线，比如定义正式环境的账号基线，在基线中首先预置标签，通过预置标签可以把规划好的标签结构统一初始化在所有的新建账号中，预置了指示prod的环境标签，后面是一系列资源初始化的基线项，在VPC的基线项中，可以预置默认VPC，同时配置其交换机，划分网段，包括设置网络访问控制，像安全组、共享镜像等几个基线项支持将配置好的安全组以及镜像下发预置到新创建的账号中。